پيڪٽ فلٽر nftables 0.9.9 جو رليز شايع ڪيو ويو آهي، IPv4، IPv6، ARP ۽ نيٽ ورڪ پل لاءِ پيڪٽ فلٽرنگ انٽرفيس کي متحد ڪرڻ (مقصد iptables، ip6table، arptables ۽ ebtables کي تبديل ڪرڻ). ساڳئي وقت، صحبت لائبريري libnftnl 1.2.0 جو رليز شايع ڪيو ويو، nf_tables سب سسٽم سان رابطو ڪرڻ لاء گهٽ-سطح API مهيا ڪري ٿي. ڪم ڪرڻ لاءِ nftables 0.9.9 ڇڏڻ لاءِ گهربل تبديليون لينڪس ڪنيل 5.13-rc1 ۾ شامل آهن.
nftables پيڪيج ۾ پيڪيٽ فلٽر اجزاء شامل آهن جيڪي صارف جي جاء تي هلن ٿا، جڏهن ته ڪنيبل سطح جو ڪم nf_tables سب سسٽم پاران مهيا ڪيل آهي، جيڪو 3.13 جي ڇڏڻ کان وٺي لينڪس ڪنييل جو حصو آهي. ڪرنل ليول صرف هڪ عام پروٽوڪول-آزاد انٽرفيس مهيا ڪري ٿو جيڪو پيڪن مان ڊيٽا ڪڍڻ، ڊيٽا آپريشنز ڪرڻ، ۽ وهڪري ڪنٽرول ڪرڻ لاءِ بنيادي ڪم مهيا ڪري ٿو.
فلٽرنگ جا ضابطا پاڻ ۽ پروٽوڪول-مخصوص هينڊلر يوزر اسپيس بائيٽ ڪوڊ ۾ مرتب ڪيا ويندا آهن، جنهن کان پوءِ هي بائيٽ ڪوڊ نيٽ لنڪ انٽرفيس استعمال ڪندي ڪرنل ۾ لوڊ ڪيو ويندو آهي ۽ بي پي ايف (برڪلي پيڪٽ فلٽرز) جهڙي هڪ خاص ورچوئل مشين ۾ ڪرنل ۾ لڳايو ويندو آهي. اهو طريقو اهو ممڪن بڻائي ٿو ته ڪنيل سطح تي هلندڙ فلٽرنگ ڪوڊ جي سائيز کي خاص طور تي گھٽائڻ ۽ ضابطن جي تجزيي جي سڀني ڪمن کي منتقل ڪرڻ ۽ پروٽوڪول سان ڪم ڪرڻ جي منطق کي صارف جي جاء تي.
مکيه جدت:
- نيٽ ورڪ اڊاپٽر طرف فلوبل پروسيسنگ کي منتقل ڪرڻ جي صلاحيت لاڳو ڪئي وئي آهي، 'آف لوڊ' پرچم استعمال ڪندي فعال ڪيو ويو آهي. فلوٽبل پيڪٽ ريڊائريڪشن جي رستي کي بهتر ڪرڻ لاءِ هڪ ميکانيزم آهي، جنهن ۾ سڀني قاعدن جي پروسيسنگ زنجيرن جو مڪمل پاسو صرف پهرين پيڪٽ تي لاڳو ڪيو ويندو آهي، ۽ وهڪري ۾ موجود ٻيا سڀئي پيڪيٽ سڌو سنئون اڳتي موڪليا ويندا آهن. ٽيبل ip گلوبل { فلو ٽيبل f { ٿلهو داخل ڪريو ترجيحي فلٽر + 1 ڊوائيسز = { lan3، lan0، وان } پرچم آف لوڊ } زنجير اڳتي { ٽائپ فلٽر ٿلهو اڳتي ترجيح فلٽر؛ پاليسي قبول؛ ip پروٽوڪول { tcp, udp } flow add @f } زنجير پوسٽ { ٽائپ ڪريو نيٽ ٿڪ پوسٽ روٽنگ ترجيحي فلٽر؛ پاليسي قبول؛ oifname "وان" masquerade } }
- ھڪڙي مالڪ جي پرچم کي ھڪڙي ميز تي ڳنڍڻ لاء مدد شامل ڪئي وئي ھڪڙي پروسيس ذريعي ٽيبل جي خاص استعمال کي يقيني بڻائڻ لاء. جڏهن هڪ عمل ختم ٿئي ٿو، ان سان لاڳاپيل ٽيبل خودڪار طريقي سان ختم ٿي ويندي آهي. عمل جي باري ۾ معلومات ڏيکاريل آهي ضابطن جي ڊمپ ۾ تبصرو جي صورت ۾: ٽيبل ip x {# progname nft flags owner chain y { type filter hook input priority filter; پاليسي قبول؛ انسداد پيڪيٽس 1 بائيٽ 309 } }
- IEEE 802.1ad specification (VLAN stacking or QinQ) لاءِ شامل ڪيل سپورٽ، جيڪو ھڪڙي Ethernet فريم ۾ گھڻن VLAN ٽيگ کي متبادل ڪرڻ لاءِ ھڪڙو وسيلو بيان ڪري ٿو. مثال طور، ٻاهرئين قسم جي Ethernet فريم 8021ad ۽ vlan id=342 جي قسم کي چيڪ ڪرڻ لاءِ، توهان استعمال ڪري سگهو ٿا تعمير... ether ٽائيپ ڪريو 802.1ad vlan id 342 Ethernet فريم جي ٻاهرين قسم کي چيڪ ڪرڻ لاءِ 8021ad/vlan id=1, nested 802.1 q/vlan id = 2 ۽ وڌيڪ IP پيڪيٽ انڪيپسوليشن: ... ايٿر قسم 8021ad vlan id 1 vlan type 8021q vlan id 2 vlan type ip counter
- شامل ڪيل سپورٽ وسيلن کي منظم ڪرڻ لاءِ استعمال ڪندي متحد هيراڪي cgroups v2. cgroups v2 ۽ v1 جي وچ ۾ اهم فرق سڀني قسمن جي وسيلن لاءِ هڪ عام cgroups hierarchy جو استعمال آهي، CPU وسيلن کي مختص ڪرڻ لاءِ، ميموري جي استعمال کي ريگيولر ڪرڻ لاءِ، ۽ I/O لاءِ الڳ درجي جي بدران. مثال طور، چيڪ ڪرڻ لاءِ ته ڇا پهرين سطح تي هڪ ساکٽ جو اباڻو cgroupv2 “system.slice” ماسڪ سان ملندو آهي، توهان استعمال ڪري سگهو ٿا تعمير: ... ساڪٽ cgroupv2 ليول 1 “system.slice”
- SCTP پيڪٽس جي اجزاء کي جانچڻ جي صلاحيت شامل ڪئي وئي (ان لاءِ گهربل ڪارڪردگي لينڪس ڪنيل 5.14 ۾ ظاهر ٿيندي). مثال طور، چيڪ ڪرڻ لاءِ ته ڇا هڪ پيڪيٽ ۾ ٽائپ 'ڊيٽا' ۽ فيلڊ 'قسم' سان گڏ حصو آهي: ... sctp chunk data موجود آهي ... sctp chunk data type 0
- ضابطي جي لوڊشيڊنگ آپريشن جي عمل کي "-f" پرچم استعمال ڪندي تقريبا ٻه ڀيرا تيز ڪيو ويو آهي. ضابطن جي فهرست جي پيداوار کي پڻ تيز ڪيو ويو آهي.
- چيڪ ڪرڻ لاءِ هڪ جامع فارم مهيا ڪيو ويو آهي ته ڇا پرچم بٽ مقرر ڪيا ويا آهن. مثال طور، چيڪ ڪرڻ لاءِ ته snat ۽ dnat اسٽيٽس بِٽ مقرر نه آھن، توھان وضاحت ڪري سگھو ٿا: ... ct status ! snat,dnat چيڪ ڪرڻ لاءِ ته Syn bit bitmask syn,ack: ... tcp flags syn/syn,ack چيڪ ڪرڻ لاءِ ته fin ۽ rst بٽس bitmask syn,ack,fin,rst ۾ مقرر نه آهن: ... tcp جھنڊو! = فن، پهريون / سن، ايڪ، فن، پهريون
- اجازت ڏيو "فيصلو" لفظ سيٽ/نقشي جي قسم جي وصفن ۾: شامل ڪريو map xm { typeof iifname. ip پروٽوڪول th dport: فيصلو؛}
جو ذريعو: opennet.ru